Kommentar: Integrierte Sicherheit für virtualisierte Rechenzentren

Fünf-Punkte-Plan für die Absicherung von virtualisierten Rechenzentren

Seite: 4/4

Firmen zum Thema

Das virtualisierte Rechenzentrum segmentieren

Der beste Ansatz für den Aufbau eines virtualisierten Rechenzentrums ist die Segmentierung. Ziel ist, die empfindlichen Segmente des Rechenzentrums von anderen Teilen des Netzwerks zu isolieren. Des Weiteren können spezielle Server, die besonderen gesetzlichen Vorgaben unterliegen, segmentiert werden, um das Risiko zu steuern und Compliance sicherzustellen.

Mit Segmentierung kann auch der Schaden begrenzt werden, falls es doch einen Hackerangriff auf das Rechenzentrum geben sollte. Auch in flachen Layer Two-Netzwerken ist Segmentierung einer der besten Ansätze. Dazu müssen Systeme mit ähnlichen Risikofaktoren und Sicherheitsklassen logisch gruppiert werden. So sind zum Beispiel alle gemeinsam genutzten Infrastruktur-Services im Rechenzentrum wie Active Directory oder NTP-Server manchmal am verwundbarsten, da sie üblicherweise mit allen anderen Services kommunizieren können. Die gemeinsam genutzten Services müssen von anderen Serverebenen abgegrenzt werden.

Virtualisierte Server müssen entsprechend eigenschaftsbasiert segmentiert werden, beispielsweise anhand ähnlicher Risikofaktoren und Sicherheitsklassen. Diese Server können in Sicherheitszonen angesiedelt werden, und der Traffic zwischen den Sicherheitszonen sollte selektiv entsprechend der Sicherheitsrichtlinie und mit entsprechender Zugangskontrolle freigegeben werden. Hierbei ist es unbedingt erforderlich, die Segmentierung mit Hilfe von Next Generation Firewalls, nicht mit VLANS oder Switch ACLs umzusetzen. Nur Next Generation Firewalls, die in der Lage sind, die Segmentierung Benutzer-und Applikations-basiert anstatt auf Basis von Port und IP umzusetzen, sind für die Absicherung eines virtualisierten Rechenzentrums effektiv.

Fazit

Dieser Fünf-Punkte-Plan erhebt keinen Anspruch auf Vollständigkeit, wenn es um die integrierte Sicherheit in einem virtualisierten Rechenzentrum geht – er ist jedoch ein Anfang. Leider gibt es – im Gegensatz zur Geschichte über Alice im Wunderland – kein Ende bei der Planung des Sicherheitsstatus. Und so wird sich die Security Policy als regelmäßig anzupassendes und somit lebendiges Dokument genauso wie die Applikations- und Bedrohungslandschaft stetig weiterentwickeln.

* Achim Kraus ist Senior Systems Engineer Strategic Accounts bei Palo Alto Networks

(ID:35118810)